Mots de Passe : Générer et vérifier la force

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar du membre
dezix
Membre actif
Membre actif
Messages : 585
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

12 févr. 2020, 12:07

Générateur aléatoire de MdP

Source => https://www.zem.fr/generateur-de-mots-d ... ous-linux/




CODE
Ajouter ce code à la fin de votre fichier : ~/.bashrc

Code : Tout sélectionner

# Générateur de MdP (https://www.zem.fr/generateur-de-mots-de-passe-sous-linux/)
passgen() {
        local l=$1
        [ "$l" == "" ] && l=8
        tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs
}
où :

passgen est le nom de la (nouvelle) commande ; ce nom est modifiable mais attention à ne pas choisir une commande déjà existante.

l=8
fixe la longueur par défaut du MdP généré

les caractères utilisés sont définis par : A-Za-z0-9_ (63 caractères)

ce script utilise le bloc /dev/urandom du système comme source aléatoire.



Usage

La commande sans argument génère un MdP de longueur par défaut (8) :

Code : Tout sélectionner

$ passgen
6Jx6WiDI
ou de longueur explicite p.ex = 16 avec :

Code : Tout sélectionner

$ passgen 16
hEduWTTC39ywMomu

Alias
pour un alias :

Ajouter p.ex. dans : ~/.bash_aliases ou dans : ~/.bashrc
une ligne comme :

alias mdp='passgen'

pour obtenir :

Code : Tout sélectionner

$ mdp 6
vQQ_7Y

Calcul de la "Force" d'un Mot de Passe

Le site de l'Agence nationale de la sécurité des systèmes d'information
propose cet outil :

Calculer la « force » d’un mot de passe
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3037
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

13 févr. 2020, 09:18

Dezix, l'aspect aléatoire n'est qu'une partie de la solution (éviter les attaques par dictionnaire). L'autre aspect est la longueur. 8 caractéres, c'est un peu juste actuellement.
Il faut aussi augmenter le nombres de caracteres utilisés, il faut inclure les caracteres spéciaux.
je me méfie des MDP aléatoire impossible à retenir. On fini par les écrires sur un bout de papier, ou pire, dans un fichier en clair ou mal sécurisé!
Je prefere associer 3 mots sans aucun lien logique (on évitera table chaise banc), séparés par des caractéres spéciaux. On arrive rapidement à plus de 12 caractéres, et plus, et c'est facile à retenir.
Avatar du membre
dezix
Membre actif
Membre actif
Messages : 585
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

13 févr. 2020, 10:45

piratebab a écrit :
13 févr. 2020, 09:18
Je prefere associer 3 mots sans aucun lien logique (on évitera table chaise banc), séparés par des caractéres spéciaux. On arrive rapidement à plus de 12 caractéres, et plus, et c'est facile à retenir.
Cette méthode est tentante effectivement.



J'avais lu qu'il faut éviter les mots existants dans les dictionnaires voire existant tout-court ???
Car les pirates peuvent les utiliser
... bon au delà 3 mots sans rapport évident ça doit être plus long
mais au niveau difficulté 3 mots formant 12 caractères est sans aucun doute plus facile à trouver que 12 lettres aléatoires.

Personnellement, ce que j'ai du mal à comprendre,
c'est cet acharnement au piratage des sites anodins et finalement sans grand intérêt.

C'est juste pour le bonheur de nuire ?
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3037
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

13 févr. 2020, 14:30

non, c'est pour revendre l'info!

Les dictionnaires travaillent par association et occurences (ils commencent par chercher 1234, password car ce sont les plus tuilisés)
avec des mots sans liens, c'est un peu commed el'aléatoire.
L'énergie mise à casser un mot de passe est proportionelle à la valeur de l'info qu'il cacche.
A contrario, si tu as un mot de passe fort, c'est que tu dois cacher un secret important, donc ça vaut le coup de le casser!
C'est comme les personnes qui envoient des emails chiffrés. Comme quasi personne ne le fait, ceux qui sont chiffré doivent contenir des informations importantes ...
J'ai déja vu des emails chiffré me revenir en disant que c'était un malware!
Avatar du membre
dezix
Membre actif
Membre actif
Messages : 585
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

13 févr. 2020, 15:06

piratebab a écrit :
13 févr. 2020, 14:30
L'énergie mise à casser un mot de passe est proportionelle à la valeur de l'info qu'il cacche.
A contrario, si tu as un mot de passe fort, c'est que tu dois cacher un secret important, donc ça vaut le coup de le casser!
:017: Du coup c'est un vrai casse-tête ... ça donne presque envie de : 1234

Je vais tout de même continuer à utiliser des MdP assez fort même si je n'ai pas de grandes valeurs à cacher.

Mais force est de reconnaître que la "faute" une fois de plus est aux utilisateurs,
car si la majorité des MdP demandait un gros effort
alors les attaquant devraient cibler mieux pour éviter de perdre leur temps
ou se chercher une autre activité.

Enfin, c'est encore une chose bien lamentable :bad:
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3037
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

14 févr. 2020, 10:02

Hé oui, on donne des outils trés puissants à des personnes non formées ..
C'est comme donner une voiture de course à quelqu'un qui n'a pas le permis ..
Avatar du membre
Dunatotatos
Membre
Membre
Messages : 421
Enregistré le : 11 mai 2016, 20:56
Localisation : Arabie Saoudite
Status : Hors ligne

18 févr. 2020, 13:38

dezix a écrit :
13 févr. 2020, 10:45
J'avais lu qu'il faut éviter les mots existants dans les dictionnaires voire existant tout-court ???
Car les pirates peuvent les utiliser
... bon au delà 3 mots sans rapport évident ça doit être plus long
mais au niveau difficulté 3 mots formant 12 caractères est sans aucun doute plus facile à trouver que 12 lettres aléatoires.
C'est un problème de combinatoire. Pour garder un mot de passe de complexité suffisamment raisonnable pour être mémorisé, on peut imaginer 8 caractères aléatoires, ou 4 mots aléatoires.

Dans la première situation, chaque caractère peut être majuscule, minuscule, chiffre ou symbole (disons caractère imprimable ASCII), soit 95 possibilités. Il y a donc 95^8 ~= 7e15 possibilités de mots de passe.

Dans la deuxième situation, chaque mot peut être un parmi 63500. Pour une phrase de passe de 4 mots, on arrive à 63500^4 ~= 2e19 possibilités, soit 10 000 fois plus que dans la première situation.

Et quelques ajouts :
  • Pour générer des mots de passe aléatoires, il existe déjà `pwgen`, avec pas mal d'options pour inclure ou non des symboles, ne pas utiliser de caractères trop similaires (comme 'l' et 'I' ou 'O' et '0') et tout le tralala.
  • Pour générer des passphrase, il existe `xkcdpass` (`apt-get install xkcdpass`) qui imprime des mots aléatoires du dictionnaire anglais. Je pense qu'il doit y avoir moyen de changer la langue, mais on peut du moins indiqué un fichier contenant une liste de mots à utiliser.
  • Le nom xkcdpass vient d'ici. Et c'est parfaitement adapté à ce fil de discussion !
Never trust Windows output.
Avatar du membre
lol
Site Admin
Site Admin
Messages : 3106
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

18 févr. 2020, 15:04

Salut,
Un petit coup de troll ???

Sans titre.png

:194:
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3037
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

18 févr. 2020, 21:06

duna, ce n'est pas tout à fait exact. Le biais humain vient fausser le résultat. C'est ce biais qu'utilisent les algo pour accelerer la découverte.
cas classique: on impose une majuscule, un chiffre, et un caractère spécial.
L'humain étant ce qu'il est, il fausse la répartition aléatoire:
- la majuscule est au début
- puis les minuscules
- puis le caractère spécial
- et le chiffre est à la fin ..
Cela réduit drastiquement le nombre de combinaisons à tester en priorité
Avatar du membre
Dunatotatos
Membre
Membre
Messages : 421
Enregistré le : 11 mai 2016, 20:56
Localisation : Arabie Saoudite
Status : Hors ligne

20 févr. 2020, 09:57

En effet, mais je parle ici de génération réellement aléatoire. Ce que toute personne responsable respecte, et tous les membres de ce forum bien évidemment :033:
Never trust Windows output.
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3037
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

20 févr. 2020, 16:46

Bien évidement, comment peux tu en douter!
et pour s'en rappeller on l'écrit sur un post it collé sur l'écran.
Répondre